Posts Tagged With: RouterOS

[RouterOS] 沒注意資安新聞就被攻陷的經驗


話說,案場因考慮工業路由器,大量使用 RouterOS ,在 2018/08 月初發布了相關資安新聞,沒注意,到了 09/12 先發現某案場展示網頁會發生 Timeout ,才發現被攻陷變肉雞了。

展示系統大量使用 HTML5 + SVG 來處理畫面,09/12 廠商訪談完,在大廳展示電視發現展示網頁顯示 script 逾時了,開始追蹤這問題,現場是一個雙向 512k 的 ADSL 專線,使用 RouterOS 的基地台,用 Winbox 登入檢查後,從 log 發現不對勁:

防火牆規則異動

防火牆規則異動

防火牆規則被改了?問過同事,沒人連過去。確定被入侵異動,一時之間不確定問題,先升級韌體,改回被異動的參數。

09/13 開始進行更進一步 log 檢視,原先 RouterOS 服務基本上都關閉,只保留 api-ssl / winbox ,原先想說 api-ssl 可能是原廠軟體的通道,但是從 log 看起來不是透過 winbox 軟體登入,查原廠說明:

https://wiki.mikrotik.com/wiki/Manual:API-SSL

靠腰,api-ssl 只有加密,但不認證,嚇了一跳,趕緊連線到各案場普查,由於不同 IT 設定,有些有開,有些沒開,發現有四成案件有被入侵的痕跡,但有些是沒開的,不見得是 api-ssl 問題而已,甚至有些案場被打開服務,使用其他服務登入。

趕緊 google 新聞,原來是 08/03 就有新聞發出,是透過原廠軟體漏洞入侵:

超過17萬台MikroTik路由器淪為駭客挖礦攻擊的跳板 https://www.ithome.com.tw/news/124977

所以展示網頁發生 script 逾時,是因為展示電腦在幫忙挖礦阿…

再找了幾篇文章

Mikrotik的Winbox的任意文檔訪問漏洞的PoC流出,漏洞公佈以後仍舊沒有引起網絡管理者足夠的重視 https://hk.saowen.com/a/8c1dd31786b20e8da4d39cd378ffd85552d89a8e7235b570e16aaace7e923090

近期RouterOS的几个漏洞说明 http://www.irouteros.com/?p=338

大概看出來,漏洞有很多,從 winbox 漏洞備份設定檔後,還可以透過公開金鑰反解出密碼,讓 RouterOS 可以被遠端登入… 解決的方案無他,就是升級韌體,已被入侵的連管理帳號都得改…

下面來看一些慘況吧~

這隻肉雞很慘,多方在上面交戰互相阻擋別人入侵,甚至時間伺服器都被改掉,偽裝舊的時間寫入的規則:

三方互相設定對方 IP 為阻擋清單

三方互相設定對方 IP 為阻擋清單

 

這就是幫人挖礦的嵌入網頁:

挖礦嵌入網頁

挖礦嵌入網頁

防火牆規則區除了 DNS 防禦被關閉 (紅框),也淪為駭客間互相阻擋的方案 (藍框)

DNS 防禦被關閉

DNS 防禦被關閉

IP Pool 也被改:

IP Pool 被新增

IP Pool 被新增

對應 IP Pool 的撥入規則也新增近來:

PPP 也被新增規則

PPP 也被新增規則

對應被加入的 VPN 帳號:

VPN 被新增帳號

VPN 被新增帳號

被加入的排程:

被加入排程

被加入排程

被加入 Script:

被加入 script

被加入 script

被加入 Layer 7 Protocol 規則:

被加入 Layer 7 Protocol

被加入 Layer 7 Protocol

還有 SOCKS 也被設定、加入 IP 等,甚至有些是底層被修改,在介面上完全找不到哪裡被改,當我改完規則後,居然被駭客改掉 admin 帳密,登不進去,只好換機,拿回來洗機重新設定。

看樣子 google 還要訂閱 RouterOS 資安相關訊息了…

對了,我們這幾台最早被入侵大概是在九月初,所以要是有看到新聞,其實還有救…

廣告
Categories: 工作點滴, 技術分享 | 標籤: | 發表留言

[RouterOS] 阻擋外對內的 DNS 遞迴查詢攻擊


先前這篇:
[RouterOS] 上傳流量爆頻寬

會阻擋所有的 DNS 查詢,相對代表另一件事,區域網路無法透過 Router 查詢 DNS ,只能設廣域網路的 DNS ,由於內部系統習慣使用 Router 作為 DNS Server ,便於外部網路的變化,不影響內部網路設定,因此得改防火牆配合。

建好的規則如下圖,在防火牆的過濾規則中設定,將來自於外網的 DNS 的查詢全數拋棄:

將來自於外網的 DNS 的查詢全數拋棄

將來自於外網的 DNS 的查詢全數拋棄

來分別看看此兩規則的設定值,其中 pppoe-HiNet 為外網的名稱,這邊是使用 ADSL 上網,使用 WAN 也可藉此修改:

DNS TCP General

DNS TCP General

DNS TCP Action

DNS TCP Action

DNS UDP General

DNS UDP General

DNS UDP Action

DNS UDP Action

最後,若需如清單畫面中,分群,在清單中按下滑鼠右鍵,在彈跳選單中選擇 [Comment] ,輸入分群名稱即可:

DNS Query TCP Comment

DNS Query TCP Comment

DNS Query UDP Comment

DNS Query UDP Comment

設定完成後,就可以允許 DNS 查詢了。

DNS Settings

DNS Settings

Categories: 工作點滴, 技術分享 | 標籤: | 發表留言

[RouterOS] 上傳流量爆頻寬


這個問題發生了一陣子了,就是使用 RouterOS 的路由器會由 RouterOS 爆上傳流量。

最早是發生在去年年底,是日本網路公司通知疑似遭受攻擊,已封鎖網路。

一般來說,都是以為電腦被攻擊,但是電腦檢查沒有問題,就不了了之。

慢慢的,一個個使用 RouterOS 路由器的案場接連出事, RouterOS 路由器在 2013/06 開始使用,起初沒想到是路由器問題,但是有部分環境是只有自動介面卡都會出事,而路由器換個 IP 就會正常,就鎖定是路由器問題。

由於去年年底才開始發生,所以誤認為 RouterOS 路由器漏洞,以:
RouterOS 漏洞
RouterOS bug

用 google 找半天,都找不到有用資訊,只好在公司架一台空機等著被轟。

今天終於等到狂轟猛炸,透過封包過濾是 DNS ,有了資訊就很好找,是「DNS遞迴查詢攻擊」,分別找到三個有用資訊:
為何你的ROS WAN口會有莫名的流量 https://ros.tw/wp/?p=2565
RouterOS 被大量流量攻擊 https://www.mobile01.com/topicdetail.php?f=110&t=4468348
DDoS Detection and Blocking http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking

最簡單的當然是從介面處理,所以依據第一個連結方式處理。

首先先看上傳爆流量,這個只有 RouterOS 路由器接 WAN ,後面沒任何設備。

上傳爆流量

上傳爆流量

大部分的環境是用 PPPoE 動態撥接,所以為避免路由器後面設備不能連線,先做 DHCP Server 的 DNS 設定。

選單 DHCP Server

選單 DHCP Server

台灣當然是 HiNet + Google 。

加入 DNS Server

加入 DNS Server

再由 左側選單 [IP] > [DNS] 把 [Allow Remote Requests] 勾勾拿掉。

移除勾選

移除勾選

一套用,馬上流量從 19.2Mbps 降到 390.7 kbps 。不過累積上傳量已經達到 645.4 GiB,想到我就是這垃圾流量的貢獻者,實在汗顏阿~

流量驟降

流量驟降

RouterOS 是個平價的工業級路由器,慣用 RB450G / RB750GR3 環境溫度都可以耐到 70 度,是耐操的好夥伴阿。

Categories: 工作點滴, 技術分享 | 標籤: | 2 則迴響

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: